En este documento, se describen los componentes principales de Administrador de certificados (2ª gen.) y cómo interactúan con tus recursos de Google Cloud y fuentes externas de autoridades de certificación.
El Administrador de certificados (2ª gen.) te permite adoptar funciones de forma incremental. Puedes comenzar por supervisar tu inventario de certificados existente y, luego, agregar la emisión automatizada o la administración de confianza a medida que crezcan tus necesidades.
Componentes centrales
Certificate Manager (2ª gen.) tiene los siguientes componentes principales:
- Directorio de certificados: Una lista unificada de todos los certificados detectados y subidos manualmente en tu proyecto.
- Panel de descripción general: Es una herramienta de supervisión que resume tu entorno de certificados, incluidas las alertas de vencimiento y las tendencias de seguridad.
- Configuraciones de emisión: Son políticas reutilizables que definen cómo el Administrador de certificados (2ª gen.) genera y administra las renovaciones automáticas de certificados.
- Configuraciones de confianza: Son definiciones para anclajes de confianza, como certificados de CA raíz, que las cargas de trabajo usan para la TLS mutua (mTLS) con el fin de verificar identidades.
Descripción general de la arquitectura
En el siguiente diagrama, se muestra cómo interactúan estos componentes entre sí:
El inventario de certificados agrega certificados del servicio de CA y recursos Google Cloud integrados. Puedes usar el panel de descripción general para supervisar el estado de los certificados y automatizar la administración del ciclo de vida configurando los parámetros de configuración de emisión y confianza. En las siguientes secciones, se describe cada componente en detalle.
Observabilidad de certificados
Administrador de certificados (2ª gen.) supervisa automáticamente tu entorno y completa el directorio de certificados con las siguientes fuentes:
- Servicios Google Cloud integrados: Son los certificados que usan servicios como la identidad de carga de trabajo administrada y Cloud Load Balancing (incluidos los certificados clásicos y los que se suben).
- Certificate Authority Service: Son los certificados emitidos por tus grupos de CA privadas.
Supervisión de certificados
El panel de descripción general usa los datos del directorio de certificados para resumir el estado y la postura de seguridad de tu entorno. Puedes usar el panel para realizar las siguientes tareas:
- Identifica los certificados que están por vencer: Prioriza las renovaciones viendo qué certificados están por vencer en todos los servicios.
- Audita la postura de seguridad: Supervisa la distribución de los algoritmos criptográficos y las longitudes de las claves para garantizar el cumplimiento de los estándares de seguridad.
- Hacer un seguimiento de las tendencias de emisión: Obtén estadísticas sobre el uso y la emisión de certificados a lo largo del tiempo.
Administración automatizada del ciclo de vida de los certificados
Puedes automatizar la administración de tus certificados configurando los parámetros de emisión y confianza:
- Configuraciones de emisión: Define parámetros como la vida útil, el algoritmo de clave y la ventana de rotación. Cuando se asocia una configuración de emisión con un recurso, Administrador de certificados (2ª gen.) genera y renueva automáticamente el certificado.
- Configuraciones de confianza: Distribuye anclajes de confianza a tus aplicaciones para proteger la comunicación entre cargas de trabajo con TLS mutua (mTLS). Este enfoque garantiza que las aplicaciones solo confíen en los certificados aprobados.
¿Qué sigue?
- Compara las versiones del Administrador de certificados
- Ver el directorio de certificados
- Supervisa tus certificados
- Crea una configuración de emisión
- Crea una configuración de confianza